Mam aplikację internetową Java, która wykorzystuje ograniczenia bezpieczeństwa, aby zablokować dostęp do zasobów. Próbuję manipulować odpowiedzią HTTP 401, gdy uwierzytelnianie jest wymagane dla żądań Ajax, więc utworzyłem filtr, który obserwuje status HTTP w odpowiedziach i odpowiednio go modyfikuje, jeśli jest to wymagane.

Problem polega na tym, że jeśli wymagane jest uwierzytelnienie, filtr nie zostanie wywołany, dopóki 401 nie zostanie wysłany do przeglądarki. Wydaje się, że ograniczenie bezpieczeństwa poprzedza filtr w łańcuchu przetwarzania żądań. Wzorzec adresu URL mojego filtru jest bardziej ogólny niż którykolwiek z ograniczeń zabezpieczeń. Platforma to WebSphere.

Nie widzę, gdzie w specyfikacji Servlet 2.5 określono pierwszeństwo ograniczeń i filtrów bezpieczeństwa. Czy coś przegapiłem?